>>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
>>бессмысленно: получается по толщине эквивалент VPS,
>Неправда ваша, дяденька. Chroot можно сделать очень компактным.Вот только толку с него обычно пропорционально. Статику относительно безопасно раздать -- дело относительно нехитрое...
>Особенно если сервак умеет дропать права и делать чрут уже после старта.
Я в курсе и про mod_chroot тоже.
>Получается буквально сотни кб...несколько мб.Никакой VPS
>во столько не влезет.
На самом деле VPS с разделяемыми бинарниками недалеко по накладным расходам...
>>а по надёжности изоляции -- много хуже.
>Факт.Зато и делается проще и в любой системе нахаляву.
Насчёт халявы тоже не могу совсем согласиться; посмотрите альтовский chrooted, если хотите (и тут же есть chrootuid), но и с ними -- это изрядно возни.
>> chroot(2) не является средством безопасности by design.
>А чем он тогда по вашему является?
Средством изменить вид процессов на файловую систему, разумеется.
>Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.
Смотря чью... http://wiki.linux.edu/doku.php?id=chroot_hack
>С минимальным вредом для остальной системы.
Собственно, я не говорю, что чрутить смысла нет. Нет смысла на это полагаться.
>Если что VPS довольно недавно появились...
Опять же кому как. Я в production использую с 2004, было бы действительно надо -- парой лет раньше уже было что купить.
>и куда жирнее по ресурсам.
Для меня оно оправдано в первую очередь управляемостью и более внятным барьером. В т.ч. по PID/UID/GID, сетевым интерфейсам, лимитам на CPU/RAM... бишь моё время на чруты, если их не стотыщмильёнов, дороже станет, чем нарисовать контейнеров.
Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux Server 4.0 :-)